2016年9月圓滿解決荊州某單位大型機房入侵事件

來源：湖北國菱計算機科技有限公司-湖北國聯(lián)計算機科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司 時間：2016-09-16

2016年荊州某行政單位機房網(wǎng)站群癱瘓，多個IP已經(jīng)無法訪問，檢查后發(fā)現(xiàn)帶寬300M已被占用完，確診為遭受網(wǎng)絡(luò)攻擊。通過分析攻擊類型、深入調(diào)查發(fā)現(xiàn)攻擊原因、組織技術(shù)小組緊急會議、制定詳細解決方案、圓滿解決此次網(wǎng)絡(luò)攻擊事件，并得到客戶贊揚與認可簽訂長期的技術(shù)服務(wù)合作協(xié)議。

1、原架構(gòu)圖：

2.處理過程：

(1)  分析攻擊類型為洪水攻擊（DDOS方式）；

(2) 深入調(diào)查后發(fā)現(xiàn)攻擊原因為黑客報復(fù)性攻擊，攻擊目標為XX.XXX.com；

(3) 小組舉行緊急會議，決定添加硬件防火墻，后測試無效，預(yù)估流量超過實際帶寬3-4倍；

(4) 啟用國聯(lián)云端防御系統(tǒng)，將域名指向云端過濾后由云端轉(zhuǎn)發(fā)至本地另一備用IP；

(5) 啟用追溯機制，通過云端監(jiān)控流量達到5G多，攻擊IP來自世界各地數(shù)百個。主要流量來自廣西柳州某機房。后將資料提交給荊州警方。

3.修改后架構(gòu)圖：

4.事因分析：

(1)該單位未安裝WEB防火墻及硬件防火墻；

(2)未及時進行系統(tǒng)更新；

(3)未及時更新網(wǎng)站程序，致使整個系統(tǒng)出現(xiàn)了多個后門漏洞。

5.防范措施：對涉及該單位網(wǎng)絡(luò)安全的系統(tǒng)維護人員進行了系統(tǒng)的培訓(xùn)，其中包括工作現(xiàn)場紀律、操作流程規(guī)范以及操作日志的記錄。

6.后續(xù)：簽訂長期的技術(shù)服務(wù)合作協(xié)議。